Antiscan - выявление и блокировка подозрительных IP

dimon27254 · 23 мая

39 минут назад, MDP сказал:

Продолжаем паранойю...

Сообщение информационное появилось единичное.

May 23 16:57:50 ndm
Info: Opkg::Manager: /opt/etc/ndm/netfilter.d/099-ascn.sh: iptables: Resource temporarily unavailable.

... ни на что не повлияло естественно....

Такая ситуация возможна.

Дело в том, что система при определенных обстоятельствах, например, смене состояния подключений к интернету или VPN, делает многократную перезапись всех таблиц netfilter.

В процессе каждой перезаписи вызывается hook-скрипт, приведенный в логе. В нем реализовано ожидание, пока система "освободит" таблицы netfilter (ключ -w для iptables). Однако, иногда iptables не успевает "дождаться", пока система завершит свою работу, и "выбрасывает" такую ошибку.

В целом, это не критично, т.к. правила Antiscan в один из вызовов с высокой долей вероятности все равно восстановятся.

На крайний случай, если правила все-таки не применились, можете вручную выполнить команду, которая запустит восстановление правил:

antiscan update_rules

yrzorg · Вторник в 19:36

Почему то у меня множество ip из одной подсети не переходит в блокировку этой подсети

Статус Antiscan: работает
Заблокировано IP: 103
Заблокировано подсетей: 0

Настройки стоят по умолчанию

Спойлер

ISP_INTERFACES="eth3"
PORTS="22,23,25,80,143,443,587"

RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20
RECENT_CONNECTIONS_BANTIME=864000

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=864000

SAVE_IPSETS=0
IPSETS_SAVE_PATH=""

Спойлер

Заблокированные IP:
34.169.144.146 timeout 823841
35.203.143.83 timeout 794615
179.43.152.115 timeout 831820
185.8.4.239 timeout 863407
185.8.5.1 timeout 824848
185.8.5.3 timeout 821913
185.8.5.42 timeout 862170
185.8.5.59 timeout 825546
185.8.5.65 timeout 822584
185.8.5.71 timeout 822001
185.8.5.74 timeout 822927
185.8.5.79 timeout 823255
185.8.5.86 timeout 820341
185.8.5.91 timeout 824398
185.8.5.93 timeout 825524
185.8.5.103 timeout 825782
185.8.5.104 timeout 826119
185.8.5.116 timeout 822842
185.8.5.121 timeout 863391
185.8.5.131 timeout 821856
185.8.5.145 timeout 819805
185.8.5.146 timeout 823333
185.8.5.148 timeout 826709
185.8.5.153 timeout 863590
185.8.5.166 timeout 828662
185.8.5.173 timeout 827249
185.8.5.175 timeout 822524
185.8.5.178 timeout 825194
185.8.5.184 timeout 826421
185.8.5.189 timeout 828892
185.8.5.245 timeout 826832
185.129.56.15 timeout 863466
185.129.57.61 timeout 863867
185.129.59.6 timeout 863362
185.166.243.27 timeout 862246
185.166.243.106 timeout 862534
185.166.243.138 timeout 863820
185.166.243.167 timeout 862226
185.166.243.169 timeout 862756
185.166.243.231 timeout 863317
185.224.230.19 timeout 863560
195.28.14.21 timeout 863640
195.28.14.126 timeout 863516
195.28.14.167 timeout 863939
213.108.136.18 timeout 827838
213.108.136.24 timeout 826321
213.108.136.25 timeout 826109
213.108.136.35 timeout 829217
213.108.136.46 timeout 826578
213.108.136.49 timeout 826683
213.108.136.53 timeout 825200
213.108.136.55 timeout 826149
213.108.136.69 timeout 829141
213.108.136.87 timeout 825616
213.108.136.98 timeout 826788
213.108.136.128 timeout 825252
213.108.136.133 timeout 826746
213.108.136.138 timeout 863308
213.108.136.159 timeout 829484
213.108.136.169 timeout 825672
213.108.136.170 timeout 828613
213.108.136.193 timeout 825113
213.108.136.198 timeout 829147
213.108.136.200 timeout 829079
213.108.136.201 timeout 826242
213.108.136.228 timeout 828695
213.108.136.231 timeout 824942
213.108.136.232 timeout 829526
213.108.136.233 timeout 826957
213.108.136.239 timeout 826338
213.108.138.129 timeout 863928
213.108.138.221 timeout 863127
213.108.140.29 timeout 862323
213.108.140.65 timeout 863373
213.108.140.193 timeout 862191
213.108.142.78 timeout 862638
213.108.142.145 timeout 862200
213.108.142.248 timeout 862438
213.108.143.75 timeout 862856
217.76.32.25 timeout 828420
217.76.32.54 timeout 827648
217.76.32.65 timeout 820905
217.76.32.73 timeout 827325
217.76.32.79 timeout 827603
217.76.32.99 timeout 829622
217.76.32.107 timeout 828766
217.76.32.108 timeout 820976
217.76.32.115 timeout 825962
217.76.32.129 timeout 821089
217.76.32.142 timeout 822268
217.76.32.146 timeout 828883
217.76.32.154 timeout 825205
217.76.32.173 timeout 825793
217.76.32.193 timeout 827118
217.76.32.194 timeout 826628
217.76.32.203 timeout 827348
217.76.32.204 timeout 828482
217.76.32.205 timeout 826834
217.76.32.214 timeout 827813
217.76.32.222 timeout 824910
217.76.32.226 timeout 826983
217.76.32.231 timeout 820974
217.76.32.245 timeout 829109
Заблокировано IP: 103

Если я правильно понял описание, то как минимум должны попасть
185.8.5.0/24
217.76.32.0/24

Изменено Вторник в 19:38 пользователем yrzorg

dimon27254 · Вторник в 22:13

2 часа назад, yrzorg сказал:
Почему то у меня множество ip из одной подсети не переходит в блокировку этой подсети
Статус Antiscan: работает
Заблокировано IP: 103
Заблокировано подсетей: 0
Настройки стоят по умолчанию

Показать контент

ISP_INTERFACES="eth3"
PORTS="22,23,25,80,143,443,587"

RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=30
RECENT_CONNECTIONS_HITCOUNT=15
RECENT_CONNECTIONS_LIMIT=20
RECENT_CONNECTIONS_BANTIME=864000

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=5
SUBNETS_BANTIME=864000

SAVE_IPSETS=0
IPSETS_SAVE_PATH=""

Показать контент

Заблокированные IP:
34.169.144.146 timeout 823841
35.203.143.83 timeout 794615
179.43.152.115 timeout 831820
185.8.4.239 timeout 863407
185.8.5.1 timeout 824848
185.8.5.3 timeout 821913
185.8.5.42 timeout 862170
185.8.5.59 timeout 825546
185.8.5.65 timeout 822584
185.8.5.71 timeout 822001
185.8.5.74 timeout 822927
185.8.5.79 timeout 823255
185.8.5.86 timeout 820341
185.8.5.91 timeout 824398
185.8.5.93 timeout 825524
185.8.5.103 timeout 825782
185.8.5.104 timeout 826119
185.8.5.116 timeout 822842
185.8.5.121 timeout 863391
185.8.5.131 timeout 821856
185.8.5.145 timeout 819805
185.8.5.146 timeout 823333
185.8.5.148 timeout 826709
185.8.5.153 timeout 863590
185.8.5.166 timeout 828662
185.8.5.173 timeout 827249
185.8.5.175 timeout 822524
185.8.5.178 timeout 825194
185.8.5.184 timeout 826421
185.8.5.189 timeout 828892
185.8.5.245 timeout 826832
185.129.56.15 timeout 863466
185.129.57.61 timeout 863867
185.129.59.6 timeout 863362
185.166.243.27 timeout 862246
185.166.243.106 timeout 862534
185.166.243.138 timeout 863820
185.166.243.167 timeout 862226
185.166.243.169 timeout 862756
185.166.243.231 timeout 863317
185.224.230.19 timeout 863560
195.28.14.21 timeout 863640
195.28.14.126 timeout 863516
195.28.14.167 timeout 863939
213.108.136.18 timeout 827838
213.108.136.24 timeout 826321
213.108.136.25 timeout 826109
213.108.136.35 timeout 829217
213.108.136.46 timeout 826578
213.108.136.49 timeout 826683
213.108.136.53 timeout 825200
213.108.136.55 timeout 826149
213.108.136.69 timeout 829141
213.108.136.87 timeout 825616
213.108.136.98 timeout 826788
213.108.136.128 timeout 825252
213.108.136.133 timeout 826746
213.108.136.138 timeout 863308
213.108.136.159 timeout 829484
213.108.136.169 timeout 825672
213.108.136.170 timeout 828613
213.108.136.193 timeout 825113
213.108.136.198 timeout 829147
213.108.136.200 timeout 829079
213.108.136.201 timeout 826242
213.108.136.228 timeout 828695
213.108.136.231 timeout 824942
213.108.136.232 timeout 829526
213.108.136.233 timeout 826957
213.108.136.239 timeout 826338
213.108.138.129 timeout 863928
213.108.138.221 timeout 863127
213.108.140.29 timeout 862323
213.108.140.65 timeout 863373
213.108.140.193 timeout 862191
213.108.142.78 timeout 862638
213.108.142.145 timeout 862200
213.108.142.248 timeout 862438
213.108.143.75 timeout 862856
217.76.32.25 timeout 828420
217.76.32.54 timeout 827648
217.76.32.65 timeout 820905
217.76.32.73 timeout 827325
217.76.32.79 timeout 827603
217.76.32.99 timeout 829622
217.76.32.107 timeout 828766
217.76.32.108 timeout 820976
217.76.32.115 timeout 825962
217.76.32.129 timeout 821089
217.76.32.142 timeout 822268
217.76.32.146 timeout 828883
217.76.32.154 timeout 825205
217.76.32.173 timeout 825793
217.76.32.193 timeout 827118
217.76.32.194 timeout 826628
217.76.32.203 timeout 827348
217.76.32.204 timeout 828482
217.76.32.205 timeout 826834
217.76.32.214 timeout 827813
217.76.32.222 timeout 824910
217.76.32.226 timeout 826983
217.76.32.231 timeout 820974
217.76.32.245 timeout 829109
Заблокировано IP: 103

Если я правильно понял описание, то как минимум должны попасть
185.8.5.0/24
217.76.32.0/24

Прикрепите пожалуйста, вывод команды:

ipset list ascn_candidates -s

yrzorg · Среда в 06:18

8 часов назад, dimon27254 сказал:

ipset list ascn_candidates -s

вывод длинный, положил на pastebin
https://pastebin.com/Wb5BicR1

dimon27254 · Среда в 06:22

2 минуты назад, yrzorg сказал:

вывод длинный, положил на pastebin
https://pastebin.com/Wb5BicR1

С данным списком все в порядке, однако, не срабатывает его обработка и "свертывание" в подсети.

Судя по всему, у вас какие-то неполадки с cron - он или не запускает задачу, или что-то в процессе выполнения идет не так.

Cron у вас уже был ранее настроен, или воспользовались инструкцией по ссылке из первого сообщения?

yrzorg · Среда в 07:20

54 минуты назад, dimon27254 сказал:

Cron у вас уже был ранее настроен, или воспользовались инструкцией по ссылке из первого сообщения?

ранее настроенный, отдельным пакетом, в логе инфа о запуске есть

 Май 28 10:10:01
cron[4011]
(root) CMD (/opt/etc/init.d/S99ascn read_candidates &)

при запуске вручную подсети добавились
буду разбираться с cron

FLK · Среда в 07:46

12 часов назад, yrzorg сказал:

Настройки стоят по умолчанию

Чуть-чуть поменял под себя)

ISP_INTERFACES="eth3"
PORTS="22,80,443"

RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=120
RECENT_CONNECTIONS_HITCOUNT=10
RECENT_CONNECTIONS_LIMIT=10
RECENT_CONNECTIONS_BANTIME=0

DIFFERENT_IP_CANDIDATES_STORAGETIME=864000
DIFFERENT_IP_THRESHOLD=3
SUBNETS_BANTIME=0

SAVE_IPSETS=1
IPSETS_SAVE_PATH="/opt/antiscan"

вот сейчас работает прям отлично:

Статус Antiscan: работает
Заблокировано IP: 440
Заблокировано подсетей: 95

dimon27254 · Среда в 07:51

28 минут назад, yrzorg сказал:
ранее настроенный, отдельным пакетом, в логе инфа о запуске есть
 Май 28 10:10:01
cron[4011]
(root) CMD (/opt/etc/init.d/S99ascn read_candidates &) 
при запуске вручную подсети добавились
буду разбираться с cron

Вероятно, это проблема с переменной среды PATH.
Попробуйте добавить следующую строку в crontab перед всеми задачами:

PATH=/opt/bin:/opt/sbin:/sbin:/usr/sbin:/bin:/usr/bin

yrzorg · Среда в 20:08

12 часов назад, dimon27254 сказал:

Вероятно, это проблема с переменной среды PATH.

Нашел, в чем ошибка - не указал пользователя root в crontab

*/1 * * * * root /opt/etc/init.d/S99ascn read_candidates &

FLK · Среда в 20:09

1 минуту назад, yrzorg сказал:
Нашел, в чем ошибка - не указал пользователя root в crontab
*/1 * * * * root /opt/etc/init.d/S99ascn read_candidates &

Теперь все работает как надо?

MDP · вчера в 04:56

@dimon27254 надо как-то предусмотреть...файлик с подсетями для исключения из блокировки. Короче не контролировать их активность

FLK · вчера в 04:59

1 минуту назад, MDP сказал:

@dimon27254 надо как-то предусмотреть...файлик с подсетями для исключения из блокировки. Короче не контролировать их активность

Белый список?

MDP · вчера в 05:00

Только что, FLK сказал:

Белый список?

Нет не белый...именно исключение. Белый - это и руками сделать можно)))))

dimon27254 · вчера в 05:03

7 минут назад, MDP сказал:

@dimon27254 надо как-то предусмотреть...файлик с подсетями для исключения из блокировки. Короче не контролировать их активность

К 1.3 планировал реализовать вынесение пользовательских списков в отдельные ipset. Там как раз хочу сделать отдельно черный список адресов и также список адресов, на которые не будет распространяться работа Antiscan.

Изменено вчера в 05:03 пользователем dimon27254

MDP · вчера в 05:15

12 минут назад, dimon27254 сказал:

К 1.3 планировал реализовать вынесение пользовательских списков в отдельные ipset. Там как раз хочу сделать отдельно черный список адресов и также список адресов, на которые не будет распространяться работа Antiscan.

Чёрный и в обычном межсетевом экране можно присопливить же пользователем прям из web.

Изменено вчера в 05:15 пользователем MDP

dimon27254 · вчера в 05:21

3 минуты назад, MDP сказал:

Чёрный и в обычном межсетевом экране можно присопливить же пользователем прям из web.

Можно, но ранее было пожелание загружать собственные списки заблокированных адресов, и для этих целей вообще в целом я и запланировал отдельные ipset и работу с ними. Адреса-исключения появятся "за компанию".

MDP · вчера в 05:24

Только что, dimon27254 сказал:

Можно, но ранее было пожелание загружать собственные списки заблокированных адресов, и для этих целей вообще в целом я и запланировал отдельные ipset и работу с ними. Адреса-исключения появятся "за компанию".

только список с исключением по высшему приоритету...правило повыше пожалуйста.

Пусть даже дружественный адрес и попадёт в список заблокированных (это даже полезно будет) при наличии его в списке исключения он в итоге не блочился.

dimon27254 · вчера в 05:28

1 минуту назад, MDP сказал:

только список с исключением по высшему приоритету...правило повыше пожалуйста.

Пусть даже дружественный адрес и попадёт в список заблокированных (это даже полезно будет) при наличии его в списке исключения он в итоге не блочился.

Планирую исключить вообще из обработки Antiscan такие адреса. Не будет ни блокировки по IP/подсетям, ни накопления в списке кандидатов.

yrzorg · вчера в 06:56

10 часов назад, FLK сказал:

Теперь все работает как надо?

Да, теперь подсети формируются автоматом

MDP · 18 часов назад

Кучно пошло....

FLK · 18 часов назад

2 минуты назад, MDP сказал:

Кучно пошло....

Для таких вот засранцев и был придуман режим блокировки всей подсети /24

FLK · 18 часов назад

13 минут назад, MDP сказал:

Кучно пошло....

Кстати, особо ретивых и активных может в бан по IP пихнуть (за превышение порога соединений), а если их будет больше, чем указано в DIFFERENT_IP_THRESHOLD еще и в бан по /24... Дабл трабл для них)))))

212.46.0.0/24
212.46.1.0/24
212.46.2.0/24
212.46.4.0/24
212.46.9.0/24
212.46.13.0/24
212.46.24.0/24

Все те же на манеже и у меня... Насколько я помню это Россия...

Скоро надеюсь еще геоблок намутится)

Изменено 18 часов назад пользователем FLK

MDP · 18 часов назад

Да... очень нужное и полезное приложение... Обсуждение давайте к курилку отправим, тут по существу... 100500 лайков, я такое делал раньше вручную (блочил негодяев) в мсэ

Изменено 18 часов назад пользователем MDP

MDP · 2 часа назад

Такой вопрос.

После того, как накопилось предельное значение IP принадлежащие подсети /24 Формируется подсеть для блокировки. Сами ip адреса после должны очищаться ?

FLK · 2 часа назад

2 минуты назад, MDP сказал:

Такой вопрос.

После того, как накопилось предельное значение IP принадлежащие подсети /24 Формируется подсеть для блокировки. Сами ip адреса после должны очищаться ?

Да, они удаляются из ipset'а "кандидатов"

Можно проверить командой ipset list ascn_candidates -s

Или сохранить все ипсеты командой save_ipsets и посмотреть в текстовике ipset_ascn_candidates.txt

Изменено 2 часа назад пользователем FLK

MDP · 1 час назад

5 минут назад, FLK сказал:

Да, они удаляются из ipset'а "кандидатов"

а из самого списка блокируемых адресов?

получается блокируется сам ip и ещё подсеть в котором этот ip есть.

image.png.e3f94c1c225ce3c54dce0bcece03640f.png

Изменено 1 час назад пользователем MDP

FLK · 1 час назад

5 минут назад, MDP сказал:

а из самого списка блокируемых адресов?

получается блокируется сам ip и ещё подсеть в котором этот ip есть.

1) Нет) 2) Да, я вчера об этом говорил как раз:

Спойлер

Кстати, особо ретивых и активных может в бан по IP пихнуть (за превышение порога соединений), а если их будет больше, чем указано в DIFFERENT_IP_THRESHOLD еще и в бан по /24... Дабл трабл для них)))))

Получается двойной бан намертво) у этих банов немного разная логика - бан по адресу срабатывает, когда адрес набирает допустим 10 подключений, бан по подсетям сработает даже, если 2-3 адреса из одной подсети создадут по 1 подключению)

Изменено 1 час назад пользователем FLK

MDP · 1 час назад

3 минуты назад, FLK сказал:

Да, я вчера об этом говорил как раз:

Скрыть контент

Кстати, особо ретивых и активных может в бан по IP пихнуть (за превышение порога соединений), а если их будет больше, чем указано в DIFFERENT_IP_THRESHOLD еще и в бан по /24... Дабл трабл для них)))))

Получается двойной бан намертво)

смысл в этом есть? Большой список. лишняя вычислительная нагрузка.

Всё-же "время жизни" наверное надо вернуть для IP себе например на 5 суток, а для подсетей бессрочно оставить.

Изменено 1 час назад пользователем MDP

FLK · 1 час назад

11 минут назад, MDP сказал:

смысл в этом есть? Большой список. лишняя вычислительная нагрузка.

Самая большая нагрузка пока в работе с "кандидатами", но надо будет подумать над вашим вопросом

Надо @dimon27254 спросить, что он думает)

Изменено 1 час назад пользователем FLK

dimon27254 · 54 минуты назад

40 минут назад, MDP сказал:

смысл в этом есть? Большой список. лишняя вычислительная нагрузка.

Всё-же "время жизни" наверное надо вернуть для IP себе например на 5 суток, а для подсетей бессрочно оставить.

@FLK прав, наиболее "ресурсоемкой" задачей является свёртывание адресов-кандидатов в подсети.

Я тестировал на списке из 11 тысяч адресов, на KN-1012 обработка занимала около двух секунд.

В реальности, конечно, такие списки кандидатов могут собраться только при неработающем cron 😅

Я рассмотрю ваше предложение по очистке ascn_ips при нахождении совпадения в ascn_subnets.

Antiscan - выявление и блокировка подозрительных IP

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

dimon27254

dimon27254

dimon27254

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 3 пользователя онлайн

Важная информация